Журнал "Information Security/ Информационная безопасность" #6, 2021

Чтобы отсортировать и проанализировать сырые данные, необходимо время, а у специалистов центров мониторинга оно в дефиците. При организации защиты критически важных объ- ектов инфраструктуры важно учитывать не только внутренние, но и внешние факторы ИБ – динамику развития ландшафта кибер- угроз и актуальную повестку активности хакеров. Субъекты критиче- ской инфраструктуры должны в обязательном порядке интегрировать- ся в государственную систему обнаружения, предупреждения и лик- видации последствий компьютерных атак на информационные ресурсы (ГосСОПКА). По этой причине на них возложена миссия прио- ритетной важности – сводить риски киберинцидентов на объектах их юрисдикции к абсолютному минимуму. Ведь даже небольшие техни- ческие сбои на стороне субъ- ектов КИИ могут приводить к проблемам национального масштаба. Эксплуатация кри- тических систем строго регла- ментируется в соответствии с 187-ФЗ "О безопасности объ- ектов КИИ в РФ". Динамика развития киберугроз АРТ-атаки порой проводятся очень искусно: вирусы спо- собны длительное время блуждать по миру на устрой- ствах-переносчиках до момен- та попадания в целевую инфраструктуру. А уже закре- пившись в ней, зловред при- водит в действие алгоритм поражения системы. Следует учитывать, что APT- группировки могут намеренно менять элементы атаки и мето- ды взлома, чтобы вводить в заблуждение системы защиты и аналитиков, которые могут неверно атрибутировать инци- дент. Существует также веро- ятность перепродажи доступа к взломанной инфраструктуре. Например, некая группировка, никогда прежде не действо- вавшая в определенном сег- менте рынка, может провести заказную атаку и перепродать украденные данные уже дру- гой, более заинтересованной, группе лиц. Кроме того, атакующие могут осуществить легко раз- облачаемую атаку-приманку, параллельно проводя вторую, скрытную атаку, которая может так и остаться незамеченной на фоне победной ликвидации первой. Threat Intelligence – помощник в киберразведке На всех объектах КИИ крайне важно наличие центров опера- тивного реагирования на кибер- инциденты (SOC) и зрелых ИБ- процессов. Для анализа глобального киберпространства существуют инструменты сбора аналитиче- ских данных о киберугрозах (фидов) – так называемые сер- висы Threat Intelligence (TI). Мно- гие TI-сервисы предлагают обширные базы индикаторов разведки, но с такими объемами информации невозможно рабо- тать. Чтобы отсортировать и проанализировать сырые дан- ные, необходимо время, а у специалистов центров монито- ринга (SOC) оно в дефиците. Сетевые разведчики должны действовать оперативно, ведь от скорости принятия решения зависит финансовый и репута- ционный ущерб коммерческой организации. А для объектов КИИ добавляются еще и последствия глобального нацио- нального характера. При организации защиты кри- тически важных объектов инфраструктуры важно учиты- вать не только внутренние, но и внешние факторы ИБ – динами- ку развития ландшафта кибер- угроз и актуальную повестку активности хакеров. Субъекты КИИ не могут осуществлять защиту сети в отрыве от гло- бального инфополя. В то же время им необходима лишь полезная актуальная информа- ция, непосредственно касаю- щаяся отрасли и организации. ESET TI – качественные данные для аналитики Компания ESET, вендор сер- виса Threat Intelligence, решила сосредоточиться на выведении идеального соотношения коли- чества и качества данных для целей киберразведки. Телема- тический инструмент ESET TI 18 • СПЕЦПРОЕКТ Киберразведка на объектах КИИ ритическая информационная инфраструктура (КИИ) – это совокупность объектов ИТ-инфраструктуры, обслуживающих значимые сферы общества и государства: оборону, правопорядок, здравоохранение, финансы, промышленность, управление, госбезопасность и др. К Александр Пирожков, руководитель направления ESET Threat Intelligence